वेवर्ड सुरक्षा प्रमाण पत्र एसएसएल विश्वसनीयता के सवाल उठाते हैं

उपभोक्ताओं के रूप में, हमें हमारे ब्राउज़र के पता बार पर दिखाई देने वाले पैडलॉक आइकन पर भरोसा करना सिखाया गया है। हमें बताया गया है कि यह एक संकेत है कि एक वेबसाइट के साथ हमारा संचार सुरक्षित है। लेकिन इस सप्ताह एक घटना जिसमें Google और तुर्की सुरक्षा कंपनी शामिल है, उस धारणा को बेकार करती है।

कंपनी, तुर्क ट्रास्ट ने इस हफ्ते खुलासा किया कि अगस्त 2011 में यह गलती से दो मास्टर इकाइयों को दो "इकाइयों" को जारी कर दिया गया। मास्टर कुंजी, जिन्हें इंटरमीडिएट सर्टिफिकेट कहा जाता है, संस्थाओं को इंटरनेट पर किसी भी डोमेन के लिए डिजिटल सर्टिफिकेट बनाने की इजाजत देता है।

डिजिटल सर्टिफिकेट वास्तव में एक वेबसाइट को सत्यापित करने के लिए उपयोग की जाने वाली एन्क्रिप्शन कुंजी होती है जो यह कहती है। उदाहरण के लिए, आपके बैंक के लिए प्रमाण पत्र आपके ब्राउज़र को सत्यापित करता है कि जब आप ऑनलाइन बैंकिंग करते हैं तो आप वास्तव में अपने बैंक से बात कर रहे हैं।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

प्रमाणपत्र का उपयोग किया जाता है आपके और वेबसाइट के बीच की जानकारी को एन्क्रिप्ट करने के लिए भी। यही है कि आपके ब्राउज़र के पता बार पर हरा पैडलॉक का मतलब है। ब्राउजर अपनी प्रामाणिकता के सत्यापन के बाद सिक्योर सॉकेट लेयर का उपयोग कर वेबसाइट के साथ संचार कर रहा है।

एक फर्जी सर्टिफिकेट के साथ एक इंटरनेट दुश्मन जो आपके और एक विश्वसनीय वेबसाइट के बीच संचार को रोक सकता है, यह विश्वास कर सकता है कि यह विश्वसनीय साइट के साथ संचार कर रहा है और अपने संचार को हाइजैक करें। इसे "मध्य हमले में आदमी" कहा जाता है क्योंकि चोर आपके और भरोसेमंद साइट के बीच बैठता है।

त्रुटि ठीक हो गई, समस्या जारी है

क्रिसमस ईव पर Google द्वारा टर्कस्ट की गलती की खोज उस क्रोम ब्राउज़र में हुई थी प्लेटफ़ॉर्म जो Google को लाल ध्वज उठाता है जब कोई अनधिकृत प्रमाणपत्र के साथ प्लेटफॉर्म का उपयोग करने का प्रयास करता है।

प्रमाणपत्र समस्या की खोज करने के बाद, Google ने स्थिति के तुर्कट्रस्ट के साथ-साथ माइक्रोसॉफ्ट और मोज़िला को सूचित किया, जिन्होंने सभी अपने ब्राउज़र प्लेटफार्मों को संशोधित किया है इंटरमीडिएट सर्टिफिकेट अथॉरिटी के साथ बनाए गए नकली प्रमाणपत्रों को ब्लॉक करने के लिए।

यह प्रमाणपत्र स्नफू सिर्फ नवीनतम संकेत है कि डिजिटल प्रमाणपत्र जारी करने की मौजूदा प्रणाली में सुधार की जरूरत है। मार्च 2011 में, उदाहरण के लिए, प्रमाणपत्र जारी करने वाले प्राधिकारी कॉमोडो से संबद्ध एक कंपनी का उल्लंघन किया गया था और नौ फर्जी प्रमाण पत्र जारी किए गए थे।

बाद में वर्ष में, हैकर्स ने डच सर्टिफिकेट अथॉरिटी, डिजीनोटर का उल्लंघन किया, और फर्जी प्रमाण पत्र जारी किए, जिसमें एक के लिए एक भी शामिल है गूगल। उस घटना के पतन ने कंपनी को व्यवसाय से बाहर कर दिया।

वांछित: अगली-जेन सुरक्षा

सर्टिफिकेट के आसपास सुरक्षा समस्याओं को हल करने के लिए कई प्रस्ताव प्रसारित किए गए हैं।

अभिसरण है। यह किसी ब्राउज़र द्वारा उपयोगकर्ता द्वारा चुने गए स्रोत से प्रमाण पत्र के बारे में दूसरी राय प्राप्त करने की अनुमति देता है। सोफोस के एक सुरक्षा सलाहकार चेत विस्निविस्की ने एक साक्षात्कार में कहा, "यह एक शानदार विचार है, लेकिन जैसे ही आप कॉर्पोरेट नेटवर्क पर जाते हैं और आप प्रॉक्सी के पीछे या नेटवर्क अनुवादक के पीछे हैं, तो यह तोड़ सकता है।" > DNSSEC है। यह डोमेन नामकरण रिज़ॉल्यूशन सिस्टम का उपयोग करता है-वह प्रणाली जो वेबसाइटों के सामान्य नामों को संख्याओं में बदल देती है-उपयोगकर्ता और वेबसाइट के बीच एक विश्वसनीय लिंक बनाने के लिए। न केवल सिस्टम को समझना आसान नहीं है, लेकिन कार्यान्वयन में सालों लग सकते हैं।

"डीएनएसईसीसी के साथ समस्या यह है कि इसे एक नई तकनीक को कार्यान्वित करने और बुनियादी ढांचे के समेकित अपग्रेड की आवश्यकता होती है, इससे पहले कि हम इसका लाभ उठा सकें," विस्निविस्की ने कहा। "गोद लेने की दरों के साथ हमने अब तक देखा है कि इसका मतलब है कि हमारे पास दस या 15 साल के लिए कोई समाधान नहीं होगा। यह पर्याप्त नहीं है।"

प्रस्तावित दो "पिनिंग" तकनीक-सार्वजनिक कुंजी पिनिंग प्रमाणपत्र कुंजी (टैक) के लिए HTTP और विश्वसनीय प्रविष्टियों के लिए एक्सटेंशन, जो समान हैं।

वे किसी वेबसाइट को प्रमाणित प्राधिकरणों की पहचान करने के लिए एक HTTP शीर्षलेख में संशोधन करने की अनुमति देते हैं। एक ब्राउज़र उस जानकारी को संग्रहीत करेगा और वेबसाइट पर भरोसेमंद प्रमाणपत्र प्राधिकरण द्वारा हस्ताक्षरित प्रमाण पत्र प्राप्त करने पर केवल वेबसाइट से कनेक्शन स्थापित करेगा।

विस्निविस्की के मुताबिक, पिनिंग प्रस्ताव प्रमाण पत्र की समस्या का इलाज करने के लिए अपनाए जाने की सबसे अधिक संभावना है। उन्होंने कहा, "उन्हें कम क्रम में अपनाया जा सकता है।" "वे उन लोगों को अनुमति देते हैं जो तुरंत ऐसा करने के लिए उन्नत सुरक्षा का लाभ उठाना चाहते हैं, लेकिन यह किसी भी मौजूदा वेब ब्राउज़र को तोड़ नहीं देता है जो अद्यतन नहीं है।"

जो भी योजना ब्राउज़र निर्माता सर्टिफिकेट समस्या को हल करने के लिए अपनाते हैं, उन्हें जल्द ही करो अन्यथा, स्नैफस बढ़ता रहेगा और इंटरनेट पर भरोसा अपरिवर्तनीय रूप से नुकसान पहुंचाया जा सकता है।